| Autor |
|
|
|
BID = 531365
nabruxas
Monitorspezialist
Beiträge: 9264
Wohnort: Alpenrepublik
|
|
Mein PC macht mich noch wahnsinnig!
Ich hatte vor einigen Wochen mir einen Rootkit Virus eingefangen.
Nach ca. 30 Std nonstop Suche habe ich die Kiste neu formatiert und alles frühlingsfrisch installiert.
Seit einigen Tagen flippt die Kiste wieder völlig aus.
OS: Gameboy XP professional, Servicepack 2 (Des bunte Glump, nur zum Gamblen aber nicht zum Arbeiten sinnvoll)
Symptom:
Starte ich den IExplorer so passiert gar nichts, jedoch im Task Manager ist der der entsprechende Task da. Starte ich nochmals so passiert das gelegentlich wieder oder aber der IExplorer startet.
Soweit funktioniert dann auch alles.
Suche ich mit Spybot oder Antivir, so finden beide Programme nichts.
Die Registry habe ich mit CCleaner vorsichtshalber "aufgeräumt".
Jetzt habe ich mir gedacht: "Versuchst Du es einmal mit HiJackThis".
Ergebnis/Fehlermeldung wie bei meinem letzten Rootkit Virus:
HijackThis ist keine zulässige Win-32 Anwendung.
Ich bin echt am Verzweifeln denn die Istallation mit den verschiedenen Testprogrammen (Dongle, etc.) dauert mindestens 7 Std (wenn alles glatt geht).
Ich habe zwar ein Image mit Norton Ghost doch das ist auch nicht mehr ganz taufrisch.
Kann mir bitte jemand auf die Sprünge helfen und mitteilen ob ich mir das etwas eingefangen habe?
_________________
0815 - Mit der Lizenz zum Löten!
[ Diese Nachricht wurde geändert von: nabruxas am 29 Jun 2008 16:22 ] |
|
BID = 531398
Her Masters Voice
Inventar
Avatar auf
fremdem Server !
Hochladen oder
per Mail an Admin
Beiträge: 5308
Wohnort: irgendwo südlich von Berlin
|
|
Was sagt denn der Taskmanager? Laufen da Tasken die da nicht hingehören? Welchen IE haste denn drauf? Die 7 ist z.B. ganz schlechte Wahl. Vielleicht mal das grosse Updatepaket von Winfuture laden und drüberrennen lassen. Mit Spybot und Antivir sollte man soweit alles Böse finden und beseitigen können.
_________________
Tschüüüüüüüs
Her Masters Voice
aka
Frank
***********************************
Der optimale Arbeitspunkt stellt sich bei minimaler Rauchentwicklung ein...
*********************************** |
|
BID = 531405
nabruxas
Monitorspezialist
Beiträge: 9264
Wohnort: Alpenrepublik
|
Im Taskmanager sieht alles ganz normal aus.
Nur das bei einem tatsächlich aktiven Fenster der IExplorer bis zu 5 mal aufscheint.
Version: 6.0.2900.2180.xpsp_sp2_rtm.040803-2158
Winfuture kenne ich (noch) nicht. Woher bekomme ich es, was kostet die Lizenz?
Spybot und Antivir findet es nicht.
Im übrigen haben beim letzten "Angriff" diese beiden Prog. auch versagt.
Ich habe damals eine Evaluation Licence von Sophos genommen und diese SW hat es erkannt, konnte es aber nicht killen, daher mußte ich den Apparillo neu aufsetzen.
Wenn ich nur wüsste ob die Registry nun versaut ist oder nicht, bzw. wie kann ich das Prog identifizieren, denn im Taskmanager scheint es aus Prinzip nicht auf! So war es beim letzten Mal.
_________________
0815 - Mit der Lizenz zum Löten!
|
BID = 531407
DonComi
Inventar
Beiträge: 8605
Wohnort: Amerika
|
Fragt sich, woher es denn überhaupt kommt?
Die Dinger können sich in fast jeder Binäry (ausführbar) verstecken, und werden ggf. vom Wirt selbst ausgeführt. Seltener sind die Rootkits als eingenständige ausführbare Datei vorhanden, denn: sie müssen irgendwie in den Speicher, damit ihr Programm ausgeführt wird. Das erreichte man früher i.d.R. mit einem Eintrag in Autostart-Menüs, Boottabellen oder in die Win.ini resp. in die Registry. Mit dem Tool "msconfig" bitte mal nachschauen, ob da irgendwelche merkwürdigen Programme zu Beginn automatisch geladen werden.
Auch kann sich sowas als Dienst ins System laden - schwieriger auffindbar.
Summa Summarum:
Auch wenns höchst ärgerlich ist -> ich pers. würde das System komplett neu aufsetzen, und diesmal aufpassen, dass nicht nochmal so ein schädliches Programm im System landet.
_________________
|
BID = 531416
Bartholomew
Inventar
Beiträge: 4681
|
Ich würde das System auch neu aufsetzen, wenn auch nur der Verdacht besteht, dass sich da ein Rootkit eingenistet hat. Am besten erst mal nur hinter einem Router mit Firewall, bis das System voll gepatcht ist. Wenn die Grundsoftware und Treiber drauf sind, ein frisches Image machen, mit Ghost oder z.B. auch Acronis TrueImage (habe ich bessere Erfahrungen mit gemacht).
Beim Formatieren würde ich zwei Partitionen vorsehen: Eine OS-Partition (~15 GB) und eine Datenpartition für alles andere (auch zum nicht systemkritische Programme rein installieren). Das Image von C: landet dann auf D:. Dann kann man im Falle des Falles innerhalb von sechs Minuten sein System zumindest in einen Grundzustand wiederherstellen 
Eventuelle Viren auf D: lassen sich mit einer Linux-Boot-DVD vorher killen.
Und ansonsten: http://www.mozilla-europe.org/de/firefox/ Dem IE traue ich kein Stück.
Gruß, Bartho
[ Diese Nachricht wurde geändert von: Bartholomew am 29 Jun 2008 19:02 ]
|
BID = 531465
Lötfix
Schreibmaschine
Beiträge: 2328
Wohnort: Wien
|
Hallo!
Ich würde es mal damit versuchen.
mfg lötfix
_________________
Haftungsausschluß:
Bei obigem Beitrag handelt es sich um meine private Meinung. Rechtsansprüche dürfen daraus nicht abgeleitet werden. Sicherheitsvorschriften beachten!
|
BID = 531472
Her Masters Voice
Inventar
Avatar auf
fremdem Server !
Hochladen oder
per Mail an Admin
Beiträge: 5308
Wohnort: irgendwo südlich von Berlin
|
Wie ich schon schrieb, Updatepack von Winfuture.de runterladen und den Rechner erstmal komplett Offline frisch aufsetzen. Dann wird Alles gut. Ich hab bisher nur gute Erfahrungen mit Antivir und Spybot gemacht. Andere Virenscanner machen leider ne Menge Fehler und verunsichern einen ungeübten Virensucher eher als das sie helfen. So bekommt man oft Fehlalarme und ist dann verunsichert wenn man nicht weiss wie man zur Not auch mal von Hand suchen kann. TrueImage kann ich auch empfehlen. Ne Menge sinnvoller Features, leicht zu bedienen und zuverlässig.
_________________
Tschüüüüüüüs
Her Masters Voice
aka
Frank
***********************************
Der optimale Arbeitspunkt stellt sich bei minimaler Rauchentwicklung ein...
***********************************
|
BID = 531481
Kleinspannung
Urgestein
Beiträge: 13359
Wohnort: Tal der Ahnungslosen
|
Zitat :
|
Dem IE traue ich kein Stück.
|
Offtopic :
| | Dann sind wir schon mal zwei |
_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)
|
BID = 531505
DMfaF
Inventar
Beiträge: 6670
Wohnort: 26817 Rhauderfehn
| 
Drei!
Arbeite schon seit einiger Zeit mit Thunderbird und Firefox. Kann einfach nichts schlechtes sagen. Mit dem IE hatte ich da schon so einiges erlebt.
|
BID = 531539
nabruxas
Monitorspezialist
Beiträge: 9264
Wohnort: Alpenrepublik
|
Heute Nacht habe ich mit einem Spezialisten mein System durchforstet.
Einige Einträge in der Registry waren definitiv nicht astrein.
Folgende hilfreiche Tools kamen zum Einsatz.
www.sysinternals.com
Regmon
ProcessExplorer
ProcessMonitor
Sollte Die Kiste weiter spinnen, so werde ich sie kurzerhand neu aufsetzen, wie von Euch empfohlen.
Danke!!
_________________
0815 - Mit der Lizenz zum Löten!
|
BID = 531743
bastler16
Schreibmaschine
Beiträge: 2140
Wohnort: Frankreich
|
Installier dir SpybotSD und speziell den TeaTimer. Der überwacht die Registry und verhindert z.B. , dass Schadsoftware Autostart-Einträge einfügt. Auch beim Installieren von neuer Software sehr nützlich, man kann die Autostarteinträge gleich bei der Installation verhindern (z.B. Schnellstartleiste eines bekanntes Büroprogrammes, div. Mediaplayer usw.) 
Offtopic :
| Die Tools von Sysinternals sind prima, kann ich nur bestätigen.
Die Firma gehört seit einiger Zeit zu M$, find ich wegen eventueller "Bevormundung" was das Aufdecken von Lücken/Protokollen/systeminternem Kram betrifft nicht so toll. |
|
